Dobre praktyki zakładania hasła

Spora cześć użytkowników przyznaje, że używa w Internecie tych samych haseł więcej niż raz. Twierdzą, że łatwiej im jest je spamiętać, szczególnie jeśli nie są zbyt skomplikowane. To ogromny błąd. Proste do zapamiętania hasła i w dodatku użyte w kilku serwisach internetowych są banalne do złamania przez hakerów. W tym wpisie przedstawię Ci najlepsze dobre praktyki zakładania hasła. Zapraszam do lektury.

Jak łamane są hasła?

Hakerzy próbujący włamać się na wybrane konto użytkownika (np. WordPress, Allegro, Facebook, Google czy dowolny inny serwis lub sklep internetowy) używają dedykowanych narzędzi. Są nimi specjalnie napisane roboty czy algorytmy wykorzystujące metodę słownikową. Polega ona na tym, że dany algorytm próbuje odgadnąć hasło korzystając z najbardziej popularnych w danym języku słów, cyfr i znaków specjalnych. Potrafi sprawdzić ich nawet kilkadziesiąt czy kilkaset na sekundę. Metoda ta jest jedną z najbardziej skutecznych.

Co gorsze, zdobyte w ten sposób hasła często publikowane są w Internecie wraz z przypisanymi do nich loginami, adresami e-mail, numerami telefonów, kart kredytowych czy adresami. Wszystko w zależności od tego skąd te dane są wykradzione i jakie informacje były przechowywane na powiązanym z tym hasłem koncie.

I teraz wyobraź sobie taką sytuację, że Twoje hasło użyte w dowolnym sklepie czy serwisie internetowym wyciekło do sieci wraz z loginem, czyli np. adresem e-mail. Istnieje spora szansa, że hakerzy (za pomocą algorytmów) będą próbować użyć tych danych do zalogowania się w innych serwisach. Jeśli np. Twoje hasło do konta w Empiku, Allegro, Merlinie czy Dropboxie wyciekło do sieci, hakerzy spróbują użyć go do zalogowania się do poczty Google lub Facebooka.

W ten sam sposób haker może też dostać się do zaplecza Twojej strony WordPress, lub co bardziej prawdopodobne – wykraść z niej login i hasło. Mogą też następnie wgrać złośliwe oprogramowanie wyświetlające reklamy na stronie, rozsyłające SPAM czy nawet całkowicie wyłączające stronę.

Jak się bronić przed wykradaniem haseł?

Na szczęście możemy się bronić przed automatycznymi atakami na nasze strony WordPress. Najpopularniejszą metodą obrony przed słownikową próbą złamania hasła jest ograniczenie liczby nieudanych logowań. Niestety WordPress nie posiada wbudowanego mechanizmu obrony i trzeba posiłkować się wtyczkami. Pozwalają one ograniczyć próby nieudanego logowania do określonej w czasie liczby. Np. 3 błędne próby wpisania hasła odcinają dostęp na 1 godzinę. Albo na jedną dobę – ustawiasz jak chcesz.

Taką podstawową funkcję zabezpieczeń posiada np. darmowa wtyczka Limit Login Attempts Reloaded. Dzięki niej ograniczysz ilość nieudanych prób logowania i ustawisz czas blokady. Ustawisz powiadomienia e-mail o nieudanych próbach a także zobaczysz listę nieudanych prób. Zablokujesz próby logowania z konkretnych adresów IP czy dla konkretnych loginów, zabezpieczysz tym samym sklep WooCommerce.

Dobre praktyki zakładania hasła

Mocne hasła nie zawierają prostych kombinacji składających się ze słów i cyfr. Łatwe do spamiętania imiona, nazwy lub daty urodzin wcale nie są trudne. Hasło typu “marta2021” jest zbyt proste.

Im dłuższe hasło tym lepiej. Algorytmy potrzebują wtedy więcej czasu, aby sprawdzić jego wszystkie kombinacje. Używaj mieszaniny małych i dużych liter, numerów i symboli. Podmiana litery “a” na symbol “@” w haśle niewiele już daje. Algorytm jest na to przygotowany. Podobnie jest z użyciem cyfry “3” zamiast litery “E”.

Najlepsze hasło to takie, które jest unikalne i niepowtarzalne. Wyobraź sobie, że kot przebiegł Ci kilkukrotnie po klawiaturze. Takie hasło, będzie bardzo trudne do odgadnięcia przez algorytmy.

Nie używaj tego samego hasła więcej niż raz. Wiem, że wydaje się to przesadą, ale przypomnij sobie co pisałem kilka akapitów wyżej. Podłe typy spod ciemnej gwiazdy spróbują użyć wykradzionego hasła do Twoich innych kont!

Spamiętanie tych wszystkich haseł wydaje się wyzwaniem, ale pamiętaj, że istnieją menadżery haseł. Oprócz oczywistej funkcji przechowywania Twoich haseł, posiadają również dobre ich generatory. Najprostszym menadżerem haseł jest ten wbudowany w Twoją przeglądarkę. Jeśli chcesz, możesz też pokusić się o bardziej rozbudowane menadżery w formie osobnego serwisu lub aplikacji mobilnej. LastPass, KeePass lub Dashlane oferują zarówno konta darmowe jak i płatne.

Możesz mieć niskie zaufanie do menadżerów haseł. Myślisz sobie, że przecież tylko Ty pamiętasz swoje cenne hasło i nikt Ci go nie wykradnie. Tylko, ile tych unikalnych i trudnych haseł jesteś w stanie zapamiętać? Hasła zapisane w menadżerze są bezpieczniejsze.

Pamiętaj, istnieje większe prawdopodobieństwo, że Twoje hasło wycieknie z Facebook, Google czy LinkedIn niż to, że ktoś skieruje spersonalizowany atak na Twój komputer by wykraść Twoje hasło z menadżera haseł!

Podsumowanie

O najpopularniejszych metodach ataków hakerskich na WordPress pisałem już jakiś czas temu. Nie muszę też dodawać, że setki cyberprzestępców na całym świecie próbuje codziennie dostać się do popularnych serwisów by wykraść hasła. Strony i blogi oparte na WordPress nie są wyjątkiem. Nie jesteś w stanie całkowicie zabezpieczyć się przed włamaniem czy kradzieżą hasła, ale możesz znacznie utrudnić ten proces.

Pamiętaj:

• twórz długie i skomplikowane hasła składające się z małych i dużych liter, cyfr i znaków specjalnych
• nie używaj tego samego hasła więcej niż raz
• przechowuj hasła w bezpiecznych menadżerach haseł (np. w przeglądarce lub aplikacji w telefonie)
• ograniczaj nieudane próby logowania do konta WordPress
• nie używaj domyślnego loginu “admin” na żadnej swojej stronie WordPress

Jeśli masz jakieś inne dobre praktyki zakładania hasła lub uwagi do tego wpisu – zostaw mi je śmiało w komentarzu. Omówmy je!